中文字幕在线观看,亚洲а∨天堂久久精品9966,亚洲成a人片在线观看你懂的,亚洲av成人片无码网站,亚洲国产精品无码久久久五月天

最新Turla后門變種利用郵件PDF附件發(fā)起C&C攻擊

2018-08-31    來(lái)源:IT運(yùn)維網(wǎng)

容器云強(qiáng)勢(shì)上線!快速搭建集群,上萬(wàn)Linux鏡像隨意使用

惡意軟件研究人員發(fā)布了一份關(guān)于Turla后門最新變種的詳細(xì)報(bào)告,該后門利用電子郵件PDF附件發(fā)起C&C攻擊。研究人員對(duì)俄羅斯聯(lián)系的APT Turla  在有針對(duì)性的間諜活動(dòng)中使用的后門進(jìn)行了新的分析。最后分析的變體可追溯到2018年4月,它實(shí)現(xiàn)了直接在計(jì)算機(jī)內(nèi)存中執(zhí)行惡意PowerShell腳本的能力。ESET進(jìn)行的新分析顯示,黑客侵犯了德國(guó)  聯(lián)邦外交部,Turla感染了幾臺(tái)計(jì)算機(jī),并獲取幾乎整個(gè)2017年的數(shù)據(jù)。

Turla后門最早從9年前開始使用

Turla是俄羅斯網(wǎng)絡(luò)間諜APT集團(tuán)(也稱為Waterbug,毒蛇和KRYPTON)的名稱,自2007年以來(lái)一直活躍于政府組織和私營(yíng)企業(yè)。以前已知的受害者名單很長(zhǎng),還包括  瑞士國(guó)防公司RUAG,美國(guó)國(guó)務(wù)院和美國(guó)中央司令部。

Turla的武器庫(kù)由復(fù)雜的黑客工具和跟蹤為Turla  (Snake  和  Uroburos  rootkit),Epic Turla(Wipbot和Tavdig)和Gloog Turla的惡意軟件組成  。2016年6月,卡巴斯基的研究人員報(bào)告說(shuō),Turla APT已經(jīng)開始使用rootkit),Epic Turla(Wipbot和Tavdig)和Gloog Turla。

Turla后門至少?gòu)?009年開始使用,并且多年來(lái)不斷改進(jìn)。最新的樣本看起來(lái)非常復(fù)雜,實(shí)現(xiàn)了罕見(jiàn)的隱身和彈性。最后分析的變體可追溯到2018年4月,它實(shí)現(xiàn)了直接在計(jì)算機(jī)內(nèi)存中執(zhí)行惡意PowerShell腳本的能力。ESET進(jìn)行的新分析顯示,黑客侵犯了德國(guó)  聯(lián)邦外交部,Turla感染了幾臺(tái)計(jì)算機(jī),并獲取幾乎整個(gè)2017年的數(shù)據(jù)。

這次網(wǎng)絡(luò)爆炸首先破壞了該國(guó)  聯(lián)邦公共行政學(xué)院的網(wǎng)絡(luò),然后在2017年3月侵入了外交部網(wǎng)絡(luò),德國(guó)當(dāng)局在年底發(fā)現(xiàn)了黑客攻擊,并于2018年3月公開披露.ESET解釋說(shuō)新分析中最重要的方面是發(fā)現(xiàn)Turla用來(lái)攻擊另外兩個(gè)歐洲國(guó)家的外國(guó)辦事處的秘密訪問(wèn)渠道。

“重要的是,我們自己的調(diào)查已經(jīng)確定,除了這一廣為人知的安全漏洞之外,該集團(tuán)還利用同樣的后門向另外兩個(gè)歐洲國(guó)家的外國(guó)辦事處以及一個(gè)主要網(wǎng)絡(luò)開放一個(gè)隱蔽的接入渠道。國(guó)防承包商。這些組織是該APT小組受害者名單中最新的已知組織,至少自2008年以來(lái)一直針對(duì)政府,州官員,外交官和軍事當(dāng)局。”

Turla后門CC攻擊原理

ESET分析的惡意軟件不使用經(jīng)典的命令和控制服務(wù)器,而是通過(guò)電子郵件發(fā)送的PDF文件接收更新和指令。

“而不是使用傳統(tǒng)的  命令和控制  (C&C)基礎(chǔ)設(shè)施,例如基于HTTP(S)的基礎(chǔ)設(shè)施,后門是通過(guò)電子郵件消息操作的; 更具體地說(shuō),通過(guò)電子郵件附件中的特制PDF文件。可以指示受感染的機(jī)器執(zhí)行一系列命令。最重要的是,這些包括數(shù)據(jù)泄露,以及下載其他文件以及執(zhí)行其他程序和命令。數(shù)據(jù)泄露本身也通過(guò)PDF文件進(jìn)行。“

通過(guò)生成帶有虹吸數(shù)據(jù)的PDF并通過(guò)電子郵件和消息元數(shù)據(jù)發(fā)送出來(lái)獲取信息。

“從PDF文檔中,后門能夠恢復(fù)攻擊者在日志中調(diào)用容器的行為。這是一個(gè)二進(jìn)制blob,其特殊格式包含后門的加密命令,從技術(shù)上講,附件不一定是有效的PDF文檔。唯一的要求是它包含一個(gè)正確格式的容器。“

Turla后門刪除發(fā)送給攻擊者或從攻擊者收到的消息以保持隱身。

后門是一個(gè)獨(dú)立的DLL(動(dòng)態(tài)鏈接庫(kù)),它與Outlook和The Bat交互!電子郵件客戶端,它通過(guò)使用COM對(duì)象劫持獲得持久性。有了這個(gè)技巧,每次Outlook加載COM對(duì)象時(shí)都可以加載惡意DLL。與其他后門不同,Turla示例顛覆了Microsoft Outlook的合法郵件應(yīng)用程序編程接口(MAPI),以訪問(wèn)目標(biāo)郵箱并避免被檢測(cè)到。

后門在完整列表下面實(shí)現(xiàn)了幾個(gè)命令:

ESET專家沒(méi)有檢測(cè)到任何PDF樣本,包括后門命令,但他們能夠創(chuàng)建這樣的文檔。

可以在GitHub上找到妥協(xié)指標(biāo)(IoC)和樣本的完整列表  。

 

原文鏈接:https://securityaffairs.co/wordpress/75589/malware/turla-backdoor-pdf.html

標(biāo)簽: cc攻擊 安全 電子郵件 服務(wù)器 腳本 漏洞 網(wǎng)絡(luò)

版權(quán)申明:本站文章部分自網(wǎng)絡(luò),如有侵權(quán),請(qǐng)聯(lián)系:west999com@outlook.com
特別注意:本站所有轉(zhuǎn)載文章言論不代表本站觀點(diǎn)!
本站所提供的圖片等素材,版權(quán)歸原作者所有,如需使用,請(qǐng)與原作者聯(lián)系。

上一篇:Ixia推出創(chuàng)新的數(shù)據(jù)包級(jí)可視性解決方案

下一篇:NETSCOUT威脅情報(bào)報(bào)告介紹